Von Shamoon zu StoneDrill

Systeme zerstörende Schadprogramme greifen unter anderem saudische Organisationen an

Inhalt

 Download full report

Seit November 2016 beobachtet Kaspersky Lab eine neue Welle von Wiper-Attacken, die sich gegen zahlreiche Ziele im Mittleren Osten richten. Die in diesen Angriffen eingesetzte Malware ist eine Spielart des berüchtigten Wurms Shamoon, der im Jahr 2012 die Erdölfördergesellschaft Saudi Aramco und das Unternehmen Rasgas angriff.

Nach einer fünf Jahre währenden Phase der Inaktivität ist eins der mysteriösesten Wiper-Programme in der Geschichte nun zurückgekehrt.

Bisher haben wir drei Angriffswellen der Malware Shamoon 2.0 beobachtet, die am 17. November 2016, am 29. November 2016 und am 23. Januar 2017 begannen.

Shamoon, auch bekannt als Disttrack, ist eine überaus destruktive Malware-Familie, die die Maschinen der Opfer äußerst effizient „ausradieren“. Eine Gruppe namens Cutting Sword of Justice bekannte sich zu dem Angriff auf Saudi Aramco mittels einer Pastebin-Nachricht am Tag der Attacke (im Jahr 2012) und rechtfertigte sie als Maßnahme gegen die absolute Monarchie in Saudi Arabien.

Die Angriffe von Shamoon 2.0 im November 2016 richteten sich gegen Organisationen in verschiedenen kritischen und ökonomischen Sektoren in Saudi Arabien. Wie auch die vorhergehende Variante ist das schädliche Wiper-Programm Shamoon 2.0 auf die massenhafte Vernichtung von Systemen innerhalb der kompromittierten Organisationen ausgerichtet.

Von Shamoon zu StoneDrill

Die neuen Attacken haben viel mit der Angriffswelle aus dem Jahr 2012 gemein und kommen nun mit neuen Tools und Techniken daher. Während der ersten Phase verschaffen sich die Angreifer die Administratoren-Zugangsdaten zu dem Netzwerk des Opfers. Daraufhin erstellen sie ein individuell maßgeschneidertes Löschprogramm (Shamoon 2.0), das diese Zugangsdaten nutzt, um sich weitreichend innerhalb der Organisation auszubreiten. Zu einem vordefinierten Zeitpunkt schließlich wird das Schadprogramm aktiviert und setzt die infizierten Rechner vollständig außer Betrieb. Bemerkenswert ist, dass die Schlussetappe komplett automatisiert abläuft und keinerlei Kommunikation mit einem Command-and-Control-Zentrum erforderlich ist.

Im Laufe der Untersuchungen der Attacken von Shamoon 2.0 entdeckte Kaspersky Lab auch eine bisher unbekannte Wiper-Malware, die anscheinend Organisationen in Saudi Arabien ins Visier nimmt. Wir nennen dieses neue Schadprogramm StoneDrill. StoneDrill ist bezüglich seines „Stils“ Shamoon in vielerlei Hinsicht ähnlich, denn der Schädling kommt mit zahlreichen interessanten Merkmalen und Techniken daher, die eine bessere Erkennungsvermeidung ermöglichen. Zusätzlich zu den vermuteten Zielen in Saudi Arabien wurde ein Opfer von StoneDrill im Kaspersky Security Network (KSN) in Europa ausgemacht. Daher glauben wir, dass der Bedrohungsakteur hinter StoneDrill seine schädliche Aktivität vom Mittleren Osten nach Europa ausweitet.

Hier eine Zusammenfassung einiger Charakteristika der neuen Wiper-Attacken, sowohl von Shamoon als auch von StoneDrill:

  • Shamoon 2.0 enthält neben seiner allgemeinen Lösch-Funktionalität auch ein voll funktionsfähiges Ransomware-Modul.
  • Shamoon 2.0 verfügt sowohl über 32-Bit- als auch über 64-Bit-Komponenten.
  • Die Shamoon-Samples, die wir im Januar 2017 analysierten, unterhalten keine C&C-Kommunikation; frühere Samples enthielten eine grundlegende C&C-Funktionalität, die auf lokale Server im Netzwerk des Opfers verwies.
  • StoneDrill macht ausführlichen Gebrauch von Umgehungstechniken, um eine Ausführung in der Sandbox zu verhindern.
  • Shamoon enthält jemenitisch-arabische Quellsprachenabschnitte, StoneDrill dagegen in erster Linie persische. Allerdings schließen wir auch nicht die Möglichkeit aus, dass hier eine falsche Fährte gelegt wurden.
  • StoneDrill verwendet während der Bereitstellung (anders als Shamoon) keine Treiber, sondern stützt sich vielmehr auf Speicherinjektion des Löschmoduls in den bevorzugten Browser des Opfers.
  • Es gibt verschiedene Ähnlichkeiten zwischen Shamoon und StoneDrill.
  • Zahlreiche Ähnlichkeiten zwischen StoneDrill und den früher analysierten NewsBeef-Attacken wurden festgestellt.

Kaspersky Lab veröffentlicht einen umfassenden technischen Bericht, der neue Einblicke in die Attacken von Shamoon 2.0 und StoneDrill liefert, unter anderem:

  1. Die Erkennungstechniken und –Strategien, die wir für Shamoon und StoneDrill verwendet haben.
  2. Einzelheiten zu der Ransomware-Funktionalität in Shamoon 2.0. Diese Funktionalität ist derzeit nicht aktiv, könnte aber in künftigen Attacken zum Einsatz kommen.
  3. Einzelheiten zu den neu entdeckten StoneDrill-Features, darunter auch seine Löschfunktionen (selbst mit eingeschränkten Benutzerprivilegien).
  4. Einzelheiten zu den Ähnlichkeiten zwischen der Malware-Gestaltung und den Quellcodes der Malware-Komponenten, die in Shamoon, StoneDrill und NewsBeef gefunden wurden.

Unsere Entdeckung von StoneDrill eröffnet der bestehenden Welle von Wiper-Attacken gegen saudi-arabische Organisationen, die im November 2016 mit Shamoon 2.0 ihren Anfang nahmen, eine neue Dimension. Verglichen mit den neuen Varianten von Shamoon 2.0 besteht der größte Unterschied im Fehlen eines Festplattentreibers, der für den direkten Zugriff während des Löschens verwendet wurde. Doch es ist nicht zwingend Raw-Zugriff erforderlich, um zerstörerische Funktionen auf Dateiebene durchzuführen, was die Malware recht erfolgreich umsetzt.

Von Shamoon zu StoneDrill

Die wichtigste Frage ist in diesem Zusammenhang selbstverständlich die nach der Verbindung zwischen Shamoon und StoneDrill. Beide Wiper-Programme scheinen innerhalb eines ähnlichen Zeitrahmens von Oktober bis November 2016 gegen saudische Organisationen eingesetzt worden zu sein. Hier sind mehrere Theorien denkbar:

  • StoneDrill ist ein weniger genutztes Wiper-Tool, das in verschiedenen Situationen von derselben Shamoon-Gruppe bereitgestellt wird.
  • StoneDrill und Shamoon werden von verschiedenen Gruppen mit ähnlichen Interessen verwendet.
  • StoneDrill und Shamoon werden von zwei unterschiedlichen Gruppen benutzt, zwischen denen keine Verbindung besteht und die nur zufällig zur selben Zeit saudische Organisationen angegriffen haben.

Unter Berücksichtigung aller Faktoren erscheint uns die zweite Theorie als die wahrscheinlichste.

Überdies scheint StoneDrill mit der Aktivität von NewsBeef in Verbindung zu stehen, über die wir bereits berichteten und die sich weiterhin gegen saudische Organisationen richtet. So gesehen scheinen NewsBeef und StoneDrill dauerhaft gegen saudische Interessen ausgerichtet sein, während es sich bei Shamoon um ein unregelmäßig verwendetes ‚on-off‘-Tool mit hoher Durchschlagskraft handelt.

Bezüglich der Attribution ist festzustellen, dass Shamoon jemenitisch-arabische Quellsprachabschnitte enthält, StoneDrill dagegen in erster Linie persische. Geopolitische Analysten würden nicht zögern darauf zu verweisen, dass Iran und Jemen Akteure im Stellvertreterkrieg zwischen Iran und Saudi Arabien sind. Wir schließen aber die Möglichkeit nicht aus, dass es sich hierbei um eine falsche Fährte handelt.

Schließlich bleiben in Bezug auf StoneDrill und NewsBeef noch viele Fragen offen. Die Entdeckung des Wiper-Programms StoneDrill in Europa ist ein wichtiger Hinweis darauf, dass die Gruppe ihre zerstörerischen Attacken über den Mittleren Osten hinaus ausweitet. Das Ziel dieser Attacke scheint ein großes Unternehmen mit vielfältigen Aktivitäten in der petrochemischen Industrie ohne offensichtliche Verbindungen zu oder Interessen in Saudi Arabien zu sein.

Wie üblich werden wir bei Kaspersky Lab die Attacken von Shamoon, StoneDrill und NewsBeef weiterhin aufmerksam verfolgen.

Eine Präsentation über StoneDrill wird auf der Konferenz Kaspersky Security Analyst Summit vom 2. bis 6. April 2017 in St. Maarten vorgestellt.

Die Produkte von Kaspersky Lab detektieren die Samples von Shamoon und StoneDrill wie folgt:

Trojan.Win32.EraseMBR.a
Trojan.Win32.Shamoon.a
Trojan.Win64.Shamoon.a
Trojan.Win64.Shamoon.b
Backdoor.Win32.RemoteConnection.d
Trojan.Win32.Inject.wmyv
Trojan.Win32.Inject.wmyt
HEUR:Trojan.Win32.Generic

Indicators of Compromise

Shamoon MD5s

00c417425a73db5a315d23fac8cb353f
271554cff73c3843b9282951f2ea7509
2cd0a5f1e9bcce6807e57ec8477d222a
33a63f09e0962313285c0f0fb654ae11
38f3bed2635857dc385c5d569bbc88ac
41f8cd9ac3fb6b1771177e5770537518
5446f46d89124462ae7aca4fce420423
548f6b23799f9265c01feefc6d86a5d3
63443027d7b30ef0582778f1c11f36f3
6a7bff614a1c2fd2901a5bd1d878be59
6bebb161bc45080200a204f0a1d6fc08
7772ce23c23f28596145656855fd02fc
7946788b175e299415ad9059da03b1b2
7edd88dd4511a7d5bcb91f2ff177d29d
7f399a3362c4a33b5a58e94b8631a3d5
8405aa3d86a22301ae62057d818b6b68
8712cea8b5e3ce0073330fd425d34416
8fbe990c2d493f58a2afa2b746e49c86
940cee0d5985960b4ed265a859a7c169
9d40d04d64f26a30da893b7a30da04eb
aae531a922d9cca9ddca3d98be09f9df
ac8636b6ad8f946e1d756cd4b1ed866d
af053352fe1a02ba8010ec7524670ed9
b4ddab362a20578dc6ca0bc8cc8ab986
baa9862b027abd61b3e19941e40b1b2d
c843046e54b755ec63ccb09d0a689674
d30cfa003ebfcd4d7c659a73a8dce11e
da3d900f8b090c705e8256e1193a18ec
dc79867623b7929fd055d94456be8ba0
ec010868e3e4c47239bf720738e058e3
efab909e4d089b8f5a73e0b363f471c1

StoneDrill MD5s

ac3c25534c076623192b9381f926ba0d
0ccc9ec82f1d44c243329014b82d3125
8e67f4c98754a2373a49eaf53425d79a
fb21f3cea1aa051ba2a45e75d46b98b8

StoneDrill C2s

www.eservic[.]com
www.securityupdated[.]com
www.actdire[.]com
www.chromup[.]com

NewsBeef C2s

www.chrome-up[.]date
service1.chrome-up[.]date
service.chrome-up[.]date
webmaster.serveirc[.]com

 Download full report

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.